El 5 de octubre recibí un correo, en apariencia proveniente de la compañía a la cual he contratado varios dominios de Internet. Advertía que si no corregía los problemas en mi correo, me lo desactivarían y me indicaban un link para ir a enmendar dichas anomalías.
Este es un buen ejemplo de lo que llaman “ingeniería social”, una nueva modalidad de fraude en línea llevada a cabo convenciendo, con artimañas, a los usuarios de divulgar contraseñas que permiten al delincuente tomar el control de recursos necesarios para cometer fraudes.
En el caso antes mencionado, querían ingresar a mi cuenta de correo mediante el uso de la técnica phishing, que significa dirigir a un usuario a una página falsa (pero se ve igual a la real) y le piden la contraseña.
Una vez en poder del correo del usuario, pueden, por ejemplo, ir al sitio del banco y solicitar una contraseña nueva, la cual es enviada al correo, que ya es de ellos. Cuando lo malhechores adquieren acceso a la cuenta bancaria, la víctima está en aprietos.
Ingenuidad. En este punto, algún lector podría pensar, con alivio, que los bancos suelen almacenar preguntas para verificar la identidad del usuario. Es cierto, pero existe una increíble cantidad de gente que escoge preguntas obvias, como el nombre de la mascota, la cual es posible encontrar en su página de Facebook.
Los más astutos saben que hay otro factor de verificación: el token. Es asombrosa la cantidad de gente que ha caído en el engaño con una llamada telefónica del delincuente haciéndose pasar por funcionario del banco o del Banco Central, incluso, amenaza con cerrarles el acceso a la cuenta, y los usuarios han revelado, por teléfono en tiempo real, el token.
Con la firma digital como elemento de verificación, la seguridad es mucho mayor. Lástima que tan poca gente la use debido a la experiencia tan deplorable que produce la utilización obligatoria de una computadora (no un teléfono o una tableta), y cuando pide actualizar los drivers son muy pocos quienes vuelven a utilizarla voluntariamente. Hay una máxima en ciberseguridad que dice que para verificar, el usuario debe aportar “algo que sabe y algo que tiene”.
Otra técnica, utilizada contra comercios pequeños que publican una dirección de correo, por ejemplo de Gmail, y un celular para contactarlos, consiste en llamarlos, decirles que necesitan actualizar el software del datáfono y que, para comprobar que son quienes dice ser, le van a enviar un código por teléfono.
Mientras tanto, ellos hacen los trámites para cambiar la contraseña del correo de Gmail, y como medida de seguridad Google envía un código al celular del usuario. El usuario recibe el código y se lo lee al defraudador, quien toma, así, control de la cuenta de correo.
Pero esas son solo dos de las técnicas utilizadas para adquirir contraseñas, existen muchas más y todos los días a los malhechores se les ocurren nuevas.
Malas prácticas. Aunque parezca mentira, algunas personas apuntan las contraseñas, incluso hay quienes las escriben en un papelito y las pegan en la pantalla de la computadora. Otros se levantan del escritorio para ir a tomar café y dejan la computadora conectada a un sitio o sistema crítico (como el banco o el sistema de cuentas por cobrar).
Los expertos en fraudes efectúan llamadas telefónicas y dicen ser del Banco Central o del Ministerio de Hacienda, y simulan telefonear al banco de la víctima. En una llamada tripartita, bastante convencedora, le sacan toda clase de información. Hay estafadores que se hacen amigos de sus víctimas, y en vez de robarles objetos valiosos cuando se descuidan, les piden contraseñas cuando están en un estado vulnerable. Ellos estudian a las víctimas en las redes sociales y aprenden suficiente de ellas para adivinar las contraseñas (fecha de nacimiento o de matrimonio, nombre del cónyuge, nombre del hijo seguido del orden de nacimiento de los hermanos, etc. No son buenos los criterios que utiliza la gente para escoger contraseñas.
Para mí, lo más asombroso es que gente me cuenta que la firma digital es tan poco amigable que se la dieron a un asistente para que firme licitaciones, sin pensar que también sirve para otras cosas.
Algunos suelen recomendar cambiar las claves periódicamente. Eso también puede ser contraproducente porque uno termina con tantas que debe apuntarlas y corre un grave riesgo.
Ir adelante. Ciertamente no deben usarse contraseñas fáciles de adivinar y las preguntas secretas deben ser difíciles de contestar, ojalá algo que nadie conozca de usted. Siempre se debe contar con un doble factor de verificación, como el token o la matriz de números. Nunca, bajo ninguna circunstancia, debe “prestárseles” a alguien o divulgarlos por teléfono. Hay apps dedicadas a salvaguardar el montón de contraseñas (passwords) que tendemos a poseer hoy día, funcionan bastante bien siempre y cuando no se nos olvide la contraseña del app. Una práctica demasiado riesgosa es utilizar la misma contraseña en todas partes, eso es como poner todos los huevos en una sola canasta.
Obviamente, cuando un cliente bancario sufre pérdidas por negligencia, equivalente a perder una chequera con todos los cheques firmados, el banco no es responsable. Pero, afortunadamente, las entidades bancarias están mucho más conscientes de las amenazas que el propio cuentacorrentista.
Enojarse con el banco porque no evitó que uno divulgara la contraseña, no tiene mucho sentido, pero sí lo tiene escoger una entidad que ayude a los clientes a defenderse de los ladrones ingenieros sociales. Las amenazas son constantes y evolucionan. Los bancos son instituciones fuertes y capaces de sobrevivir en el mundo de las ciberamenazas. Esperar que ayuden a sus clientes, no es mucho pedir.
El autor es ingeniero, presidente del Club de Investigación Tecnológica y organizador del TEDxPuraVida.